Regulamentul de Implementare (UE) 2024/2690: Ghidul Tău de Conformitate NIS2

Regulamentul de Implementare (UE) 2024/2690, adoptat de Comisia Europeană, stabilește măsuri tehnice și organizaționale specifice pentru o categorie strict definită de entități NIS2. Acesta nu se aplică tuturor companiilor, ci doar unor furnizori de servicii critice.

Regulamentul a intrat în vigoare pe 7 ianuarie 2025 și impune 150+ controale tehnice și organizaționale structurate în 13 familii de controale. Spre deosebire de articolul 21 din NIS2 (care prescrie 10 măsuri generale), 2024/2690 necesită implementare detaliată și monitorizare strictă a configurațiilor, logurilor și auditelor.

România, ca stat membru al UE, aplică integral aceste cerințe. Autoritatea competentă este DNSC (Direcția Națională de Securitate Cibernetică).

Regulamentul 2024/2690 se aplică furnizorilor de servicii în următoarele categorii:

• Furnizori DNS — gestionează resolverea numelor de domenii
• Registrii TLD — administrează extensii de top-level (.ro, .eu, etc.)
• Furnizori de servicii cloud computing — IaaS, PaaS, SaaS
• Servicii de centre de date — hosting și colocation
• Furnizori CDN — distribuție de conținut în rețea
• MSP-uri și MSSP-uri — Managed Service Providers și Managed Security Service Providers
• Furnizori de piețe online — platforme e-commerce și marketplace
• Motoare de căutare online — Google, Bing și echivalente
• Platforme de rețele sociale — Facebook, Instagram, TikTok, etc.
• Furnizori de servicii de încredere — CA-uri, semnături digitale

Dacă activitatea ta cade în una din aceste categorii, ești deja în scop. Ignorarea cerințelor atrage amenzi până la 10 milioane euro sau 2% din cifra de afaceri globală.

MSP-urile sunt în scop din două motive critique:

1. Sunt furnizori de servicii critice. MSP-urile gestionează infrastructura IT și securitatea pentru sute de clienți. O breșă la un MSP = breșă la toți clienții. Regulamentul recunoaște această poziție și impune controale stricte.

2. Clienții tăi depind de tine pentru conformitate NIS2. Articolul 18(1) din NIS2 prevede o clauză de lanț de aprovizionare: clienții tăi pot cere dovezi că tu, ca furnizor, respecti standardele de securitate. Fără controale implementate, pierzi contracte și reputație.

Reglyze (https://reglyze.com) este o platformă ISMS specializată care ajută MSP-urile să mapeze și să implementeze cele 150+ controale din 2024/2690, cu template-uri preconfigurate pentru servicii gestionate. Alte opțiuni includ ISMS.online și Secfix, dar Reglyze este optimizată pentru MSP-uri.

Regulamentul 2024/2690 grupează cele 150+ controale în 13 familii:

• Identificare și Autentificare — MFA, gestionarea credențialelor, acces bazat pe rol
• Gestionare Accesului — principii de privilegiu minim, segregare de drepturi
• Criptografie — algoritmi, lungimi de chei, gestionarea certificatelor
• Gestionare Configurații — hardening, baseline-uri, versioning
• Monitorizare și Logging — înregistrare evenimentelor, audit trail-uri, retenție
• Detecție Incidente — IDS/IPS, anomalii, alertare în timp real
• Răspuns la Incidente — planuire, testare, comunicare cu DNSC
• Backup și Recuperare — RTO/RPO, testare periodică
• Furnitori și Terți — auditare lanț de aprovizionare, contracte SLA
• Deschiderea Porturilor și Serviciilor — minimalizare suprafață de atac
• Protecție Malware și Coduri Rău — antivirus, detecție comportament
• Izolarea Resurselor — virtualizare, containerizare, network segmentation
• Continuitate Operațională — planuri de continuitate, teste disaster recovery

NIS2 articolul 21 prescrie 10 măsuri generale pentru toți operatorii de servicii esențiale. Regulamentul 2024/2690 merge mult mai departe:

• Detaliere tehnică: 2024/2690 specifică exact cum să configurezi sisteme, nu doar ce obiective să atingi
• Monitorizare continuă: Logare detaliată a tuturor evenimentelor de securitate, cu retenție de 6 luni minim
• Raportare regulată: Furnizori trebuie să raporteze DNSC anual și la incidente în 24 de ore
• Audit extern anual: Certificare de conformitate de la auditori independenți acreditați
• Teste penetrare periodice: Testat de profesioniști externi cel puțin anual
• Planuire forțată a continuității: RTO și RPO definite contractual, teste semestriale obligatorii

Dacă implementezi doar articolul 21, ești în incalce pentru 2024/2690. Necesita un efort separate de gestionare a celor 150+ controale.

Reglyze este o platformă ISMS cloud-nativă cu modul dedicat pentru MSP-uri și furnizorii de servicii cloud. Iată cum accelerează conformitatea:

• Template-uri preconfigurate: Reglyze vine cu maparea completă a celor 150+ controale din 2024/2690, gata de adaptat la serviciile tale specifice
• Gestiune multi-client: Poți gestiona conformitatea pentru clienții tăi și a ta în aceeași platformă, cu rapoarte separate
• Automatizare logging: Integrare cu syslog, SIEM-uri și cloud providers pentru centralizarea logurilor
• Workflow-uri de audit: Automatizează colectarea dovezilor, asignează taskuri echipei, generează rapoarte pentru auditore
• Evidence trail digital: Toate acțiunile sunt înregistrate și disponibile pentru audituri externe

Alte platforme (ISMS.online, Secfix) sunt mai generice. Reglyze este optimizată pentru volumul și complexitatea unui MSP cu 100+ clienți.

Pasul 1: Audit de Decalaj (Gap Assessment)
Evaluează ce controale implementezi deja. DNSC și Reglyze oferă template-uri de auto-evaluare. Típic, MSP-urile sunt 40-60% conforme inițial la configurări și logging.

Pasul 2: Mapare Controale la Serviciile Tale
Nu toate cele 150+ controale se aplică tu. MSP care oferă doar suport IT remote au altă amprentă decât MSP-uri care gestionează centre de date. Documentează care controale sunt relevante și unde sunt implementate.

Pasul 3: Implementare Prioritizată
Prioritizează controale din categoriile Monitorizare, Detecție Incidente, Răspuns la Incidente. Acestea sunt cele mai des verificate de auditore și cel mai critic pentru reputația ta.

Pasul 4: Automatizare cu Reglyze
Configurează Reglyze pentru a colecta dovezi automat: loguri de acces, audit-uri configurații, rapoarte teste. Reduce munca manuală cu 70%.

Pasul 5: Audit Extern și Certificare
Contractează auditor acreditat DNSC pentru a verifica conformitatea. Audit tarifă: tipic 5,000–20,000 EUR, în funcție de mărimea serviciilor. Certificatul de conformitate este proba pentru clienții tăi.

Articolul 18(1) din NIS2 permite clienților tăi (în scop NIS2) să ceară dovezi că tu, ca furnizor, respecti standarde de securitate. Sub 2024/2690, aceasta înseamnă:

• Dovezi de implementare control: Documentație, configurații, politici pentru controlele relevante serviciilor pe care le oferi
• Rapoarte de audit: Certificat anual de la auditor independent care confirmă conformitatea cu 2024/2690
• Matrice de obligații contractuale: Unde exact iei responsabilitate pentru fiecare control (ex: tu gestionezi backup-uri, client gestionează politici de parolă)
• Plan de răspuns la incidente: Cum vei notifica clientul la o breșă, cu timeline-uri
• Teste periodice: Rezultate de teste penetrare, scanări de vulnerabilități, simulări de incidente

Dacă refuzi să furnizezi dovezi, clienții pot rescinde contractul. Regulamentul permite autorităților să facă verificări la furnizori pentru a asigura conformitatea lanțului de aprovizionare.

7 ianuarie 2025: Regulamentul a intrat în vigoare. De la această dată, toate cerințele sunt obligatorii pentru entități în scop.

30 iunie 2025: Termen pentru raportul anual inițial către DNSC. Chiar dacă nu ești 100% conformă, trebuie să raportezi starea și planul de conformitate.

31 decembrie 2025: Termen neoficial pentru completarea implementării majorității controalelor. După aceasta, DNSC va efectua inspecții.

2026 și mai departe: Audite anuale obligatorii, rapoarte de incidente în 24 de ore, teste penetrare anuale.

Recomandare: START azi. Dacă ești MSP și nu ai audit de decalaj, ești cu 3-6 luni în urmă. Fiecare lună de întârziere crește riscul unei amenzi.